mboost-dp1

SXC - gusmolina

Alle de store browsere fik tæsk ved hackerkonkurrence

- Via Arstechnica - , indsendt af thimon

Til den årlige hackerkonference CanSecWest, afholdes traditionen tro Pwn2Own hackerkonkurrencen, hvor specielt browsere er i skudlinjen for store pengepræmier, sponsoreret af browserproducenterne selv.

I alt blev der udbetalt 442.000 dollars for 21 kritiske sikkerhedshuller i de fire store browsere Chrome, Internet Explorer 11, Firefox og Safari, hvoraf 225.000 dollars gik til en enkelt person.

Jung Hoon Lee, også kaldet Lokihardt, startede med at vinde 75.000 dollars for at bryde sikkerheden i Chrome og komme ud af dens sandbox, for derefter at øge sine systemprivilegier til fuld systemadgang hvilket gav 25.000 dollars yderligere. Eftersom hacket også virkede på sidste nye betaversion af Chrome, fik Lokihardt 10.000 dollars yderligere.

Herefter hackede Lokihardt 64-bit versionen af Internet Explorer 11 og fik læse/skrive adgang til systemet. For dette hack tjente Lokihardt 65.000 dollars, men han havde mere at byde på. Således hackede han også Safari, hvor det lykkedes ham at komme ud af dens sandbox, hvilket indbragte Lokihardt 50.000 dollars.





Gå til bund
Gravatar #1 - Trintignant
23. mar. 2015 10:28
Gad vide hvilke investeringer han gør sig for at være så dygtig, det er jo alligevel en pæn indtjening han får derfra.
Gravatar #2 - fennec
23. mar. 2015 10:41
$225,000 for at hacke... Ikke dårligt.

Det må satme kræve noget skill at gøre. Respekt herfra...
Gravatar #3 - thimon
23. mar. 2015 10:56
De computere, der blev hacket, havde også installeret 'anti-hacking exploits' ,EMET.
Gravatar #4 - Vandmand
23. mar. 2015 11:32
#3

Er det kun på Windows man angriber browserne?
Gravatar #5 - thimon
23. mar. 2015 11:37
Der er noget mere info her:
http://h30499.www3.hp.com/t5/HP-Security-Research-...

Det ser ud til at det er Windows og OS X, hvor Windows har Microsoft seneste anti-exploit værktøjer installeret.

Windows 8.1 x64 and OS X Yosemite
Gravatar #6 - Quarz_35
23. mar. 2015 11:55
Godt nok imponerende, det viser også hvor sårbar man er på internettet.

Men så er spørgsmålet om de kan lappe alle sikkerhedshullerne i browserne.
Gravatar #7 - Manofsciencemanoffaith
23. mar. 2015 12:13
Quarz_35 (6) skrev:
Men så er spørgsmålet om de kan lappe alle sikkerhedshullerne i browserne.


Det kan de ikke. Men de kan lappe dem, der bliver fundet. Så kan vi bare håbe på, at fejlene bliver lappet, før de bliver udnyttet til et angreb.
Gravatar #8 - f-style
23. mar. 2015 12:40
Der er ikke noget så vidt jeg ved som ikke kan hackes eller har sikerhedshuller. Computere er menneske skabt og i og med rigtig mange arbejder på platformen og det skal være dynamisk m.m. gør at der bliver angrebsflader steder i enten browseren eller et andet sted i OS'et.

Vi bliver nok aldrig fri fra sikkerhedshulller, men der gøres nu rigtig meget for at gøre det ret svært at udføre hvilket gør at det ikke kan lade sig gøre for enhver person. Men det er positivt der er så meget fokus på sikkerhed så de sikkerhedshuller som findes bliver lappet og gør browseren endnu sikrer.
Gravatar #9 - moulder666
23. mar. 2015 14:57
Quarz_35 (6) skrev:
Godt nok imponerende, det viser også hvor sårbar man er på internettet.


Det behøver det faktisk ikke at vise. I mange tilfælde vil det ikke kunne lønne sig for crackere at bruge nogle af de exploits der bliver fremvist ved disse situationer.

De arbejder selvfølgelig også efter at få så meget ud af deres tid/penge som muligt. Og i mange tilfælde vil det være nemmere for dem at bruge nogle af de "gode gamle tricks" på svage sjæle, folk med usikrede programmer o.lign. end det vil være for dem at sætte sig ned fra bunden og skulle lure sig frem til det allernyeste exploit.

For hver cracker der udtænker og udnytter et vildt exploit, skal der nok være 99 der kun lige præcis har evnerne til at købe sig adgang til kortoplysninger, lave noget social engineering eller lignende "gode gammeldaws" metoder.
Gravatar #10 - nijal
23. mar. 2015 15:22
wow, impressive, respekt.
Kan ikke lade være med at tænke at dette er vejen frem for disse dygtige programmører, konverter de blackhats til whitehats for store summe dollars, så skal de nok have arbejde resten af livet. Det er vejen frem, pay2find exploits :)

Jeg ved ikke om Facebook var de første, sikkert ikke, men fik en rigtig god følelse af at de udlovede 500$ til folk som fandt sikkerhedshuller, det er vejen frem for bedre sikkerhed for alle.
Gravatar #11 - Pingvin
23. mar. 2015 16:28
Så kan man også se hvor meget de forskellige firmaer synes deres sikkerhedshuller er værd :P
Gravatar #12 - Atom
23. mar. 2015 18:30
#10 Problemet er bare at man som hacker kan vælge farven på sin hat når man står op om morgenen. At være whitehat i en måned mens man forbereder sig til et sådant event udelukker ikke at man kan vælge den sorte de andre 11 måneder om året :)
Gravatar #13 - TheAvatar
23. mar. 2015 20:50
Må da være lækkert at stå op med 0 kroner på kontoen, og gå i seng med $225K :)
Gravatar #14 - RMJ
23. mar. 2015 22:47
Mon ikke de burde overveje at ansætte ham den gut ? . :P Ikke at behøver arbejde hele året, når man har de evner han har. Men han må satme kunne sit kram da.

1337 har hvis aldrig været mere passende.
Gravatar #15 - Hængerøven
23. mar. 2015 22:49
RMJ (14) skrev:
1337 har hvis aldrig været mere passende.


Hvad har starten på Hundredårskrigen med artiklen at gøre ;)
Gravatar #16 - triedset
24. mar. 2015 10:31
Er der så nogle browsere som klarede sig bedre end andre? Eller var det generelt bare dårligt gået af alle browsere?
Gravatar #17 - TormDK
24. mar. 2015 12:48
#16 Fra kilden;

"In all, this year's Pwn2Own unearthed five bugs in Windows, four bugs in IE 11, three bugs in Mozilla Firefox, three bugs in Reader, three bugs in Flash, two bugs in Safari, and one bug in Chrome. To qualify, winning bugs must be previously unknown and have the ability to break through anti-exploit defenses."
Gravatar #18 - Izaaq
25. mar. 2015 06:42
Gad vide hvor mange sikkerhedshuller, der ikke bliver indrapporteret med det samme, fordi en eller anden sidder og venter på næste Pwn2Own for at score gevinsten.
Gravatar #19 - Vandmand
25. mar. 2015 08:07
#18

Tror det er faerre end dem der ikke bliver indrapporteret, fordi en eller anden har taenkt sig at misbruge det.
Gravatar #20 - triedset
25. mar. 2015 08:16
#17

Kunne godt være jeg skulle skifte over til Chrome og droppe Firefox så, når den nu har klaret sig bedre her.
Gravatar #21 - CBM
25. mar. 2015 09:34
#20
Så skfiter jeg bare til LYNX.. hvad vil i gøre hva? hva? :) :)
Gravatar #22 - DrHouseDK
25. mar. 2015 10:15
CBM (21) skrev:
#20
Så skfiter jeg bare til LYNX.. hvad vil i gøre hva? hva? :) :)


Skide i bukserne af grin.
Gravatar #23 - CBM
25. mar. 2015 10:55
#22
Fair nok :)
Gravatar #24 - exeel
30. mar. 2015 09:46
Mener bestemt de har lavet rammer for at pwn2own er hele året, netop for at undgå man gemmer på huller :)
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login